网络安全教育培训管理制度

网络安全教育培训管理制度
第一条为加强员工的安全意识和安全技能，保证员工遵循信息安全管理的各项规章制度，及时处理各类安全事件，将可能的风险降到最低，
特制定本规定。

第二条安全培训主要包括安全意识培训、安全技能培训以及专业技术培训。

第三条信息安全培训工作由局信息中心负责组织和筹备，安全管理员负责组织落实具体的培训内容、培训形式以及相关事宜。

第四条安全意识培训因不同的对象有所调整，建议全员参与，在某些情况下可以要求有关的第三方组织参加。

第五条对在职员工进行必要的信息安全教育培训，让员工了解和掌握信息安全法律法规，加强全体员工的信息安全意识，可以采用如举办安
全知识讲座、安全知识竞赛、简报、发放宣传品等形式。

第六条安全技能培训主要是针对信息处理设备使用者或管理人员进行的，如系统安全配置、开发安全配置等IT安全技术相关内容。

第七条专业技术培训是专门针对信息安全工作需要设立的，如ISO 27001、CISP、CISSP等专业安全培训。

第八条培训可采用内部培训或外部培训（聘请外部专家），由我局聘请专家顾问以及其他专业人员对员工进行培训等形式，但外包培训应当
尽可能避免接触我局的敏感信息。

第九条信息安全培训应由安全管理员进行汇总登记。

第十条全体员工应该参加关于信息安全方面的培训。

第十一条新进员工应当在到岗后3个月内参加信息安全培训。

第十二条关键/敏感岗位的人员的变动应当开展相关的岗位培训。

第十三条对信息安全政策、制度、标准的重大调整、更新必须组织相关培训，保证所有员工及时了解、掌握变更内容。

第十四条员工在使用任何信息技术设施前（包括软件和硬件），必须接受完整的培训，特别是应当包括关于XXXXXXX局各项使用规定。

第十五条信息中心根据各部门及单位特定时期的具体情况，汇总、平衡、协调各部门的需求，制订和调整单位及各部门的年度信息安全培训计
划及各阶段的具体实施方案。

第十六条单位培训计划经领导批准后，在内网上予以公布（年度计划制订期为1月至2月，2月底予以公布）。

第十七条培训计划可以根据实际情况的变化而加以适当的修正与调整。

第十八条根据实际情况可组织实施安全培训，也可指定某部门负责组织实施，所涉及部门必须予以配合并执行。

第十九条提前一个星期公布培训课程，培训地点、培训讲师及参训人员。

有关参训人员必须及时到达培训地点参加培训，不得无故缺席。

第二十条为强化在职培训效果，可以定期组织多种形式的培训考核。

第二十一条本规定由局信息中心负责制定、解释和修改。

自发布之日起执行。

附件1：信息安全意识考核试卷
信息安全意识考核
姓名：考核分数：
第1题：微信安全加固，下列哪项是应该避免的？（）
A：允许“回复陌生人自动添加为朋友”
B：取消“允许陌生人查看照片”功能
C：设置微信独立账号和密码，不共用其他账号和密码
D：安装杀毒软件，从官网下载正版微信
第2题：发现同事电脑中毒该怎么办？（）
A：不是我的事，和我无关
B：报告信息安全员
C：赶快检查一下自己的电脑看看是否也中毒了
D：马上帮同事杀毒
第3题：第三方公司人员到公司洽谈业务，期间向您要公司无线网络的账号密码，您应该怎么做？（）
A：给他一个公用的账号密码
B：将自己的账号密码告诉他
C：礼貌的告诉他，公司的无线网络使用需要相应审批申请
D：让他使用公用电脑上网
第4题：企业信息安全哪一方面更加重要？（）
A：安全设备的健全
B：安全组织的建立
C：安全制度的建立
D：安全意识的提高
第5题：以下哪个说法是错误的？（）
A：随身携带员工卡
B：不将员工卡借予其它人
C：身份证复印件使用后要销毁
D：购买指纹膜，特殊原因时由同事协助打卡
第6题：A员工电脑出现了故障，不能使用，但需要马上进入某信息系统查询一些数据，故向B员工借用电脑，B员工应该？（）
A：不予理睬
B：登入系统，让同事在我的电脑系统上进行查询
C：让同事用自己的用户名登录系统进行查询，并站在一边不离开
D：报告信息安全员
第7题：关于信息安全管理，以下哪一项说法最不合理？（）
A：人员是最薄弱的环节
B：建立信息安全管理体系是最好的解决方法
C：只要买最好的安全产品就能做好信息安全
D：信息安全管理关系到公司中的每一个员工
第8题：物理访问不包括以下哪一项？（）
A：访问洽谈室
B：访问数据库
C：访问档案室
D：访问机房
第9题：请回答，某公司需要捐献一批废旧电脑给希望小学，为了防止信息泄露，应采取的最合理的方法是？（）
A：多次将硬盘格式化
B：对硬盘进行物理破坏
C：与希望小学签订保密协议
D：用专业工具进行消磁
第10题：避免遭受电子钓鱼攻击的最有效措施是？（）
A：强化用户安全意识
B：使用更复杂的口令
C：使用一次性口令
D：使用加密传输协议
第11题：请回答，以下哪个数据机密性最高？（）
A：员工通讯录
B：面试通知
C：市场战略
D：内部规章制度
第12题：一批可以由攻击者进行控制远程的计算机，叫什么名字？（）
A：间谍程序
B：木马
C：肉鸡
D：僵尸网络
第13题：防范网络钓鱼最有效的防范手段是什么？（）
A：关闭电脑，退出登录或锁定屏幕
B：检查地址栏网址
C：确认网页是否进行备案
D：通过百度查找找到网站地址
第14题：您认为企业信息安全体系中,管理工作和技术能力的权重比,哪个比较合适？（）
A：对半开
B：七分管理,三分技术
C：三分管理,七分来自技术支撑
D：看企业自身信息化程度来自定义
第15题：如果您作为现场执行人员，一旦安全事件发生，第一时间应该怎么做？
（）
A：如果现场有证人、证物或者录像，可以先排除故障，确保系统尽快恢复
B：报告IT部老总，按老总指示，尽一切可能恢复系统
C：保护现场，对现场初步判定，并报告管理员
D：报告IT部安全员
第16题：数据丢失会造成最大的损失是什么？（）
A：伤害公司信誉
B：损害客户关系
C：公司倒闭
D：使公司成为媒体关注焦点
第17题：下列关于下载安全的建议中正确的是？（）
A：选择资源丰富的网站下载
B：关闭杀毒软件，提高下载速度
C：下载完成后直接打开下载的文件
D：下载软件时，最好到软件官方网站或者其他正规软件下载网站下载
第18题：下列微博安全防护建议中错误的是？（）
A：接收带有广告、测试等性质的微博要有警惕之心，不要贪图小便宜随意点击来历不明的链接
B：不发布虚假信息、不造谣、不传谣、不发表不当言论
C：对微博进行相应安全配置：账号设置--隐私安全、账号安全
D：可在任意公共电脑或者移动终端登录
第19题：第三方公司员工离场时最需要归还什么？（）
A：门禁卡
B：装有重要数据的U盘
C：相关文件
D：饭卡
第20题：能够解决尾随风险的最有效的措施是？（）
A：在单独入口部署一名保安
B：采用智能卡
C：指纹门禁卡
D：在入口部署两道门。